Obbligo di riservatezza

II.8.1 L'amministrazione aggiudicatrice e il contraente devono trattare con riservatezza ogni informazione e documento, in qualsiasi formato, comunicati per iscritto o verbalmente nell'ambito dell'attuazione del CQ e segnalati per iscritto come riservati.

II.8.2 Ciascuna parte è tenuta a:

a) non utilizzare informazioni o documenti riservati per fini diversi dall'adempimento degli obblighi nell'ambito del CQ o di un contratto specifico senza il previo consenso scritto dell'altra parte;

b) garantire per tali informazioni o documenti riservati lo stesso livello di protezione applicato per le proprie informazioni o documenti riservati, e comunque assicurare la dovuta diligenza;

c) non divulgare a terzi, direttamente o indirettamente, informazioni o documenti riservati senza il previo consenso scritto dell'altra parte.

II.8.3 L'amministrazione aggiudicatrice e il contraente sono vincolati agli obblighi di riservatezza di cui al presente articolo durante tutta l'attuazione del CQ e per tutto il periodo in cui le informazioni o i documenti rimangono riservati, a meno che:

a) la parte divulgatrice acconsenta a sollevare in anticipo la parte ricevente dall'obbligo di riservatezza;

b) le informazioni o documenti riservati diventino di pubblico dominio per causa che non costituisce violazione dell'obbligo di riservatezza;

c) la legge applicabile imponga la divulgazione delle informazioni o documenti riservati.

II.8.4 Il contraente deve ottenere da ogni persona fisica avente potere di rappresentarlo o di prendere decisioni per suo conto, nonché dai terzi che partecipano all'attuazione del CQ, l'impegno a rispettare il presente articolo. Su richiesta dell'amministrazione aggiudicatrice, il contraente deve fornire un documento comprovante tale impegno.

II.9. T

II.9.1 Trattamento dei dati personali da parte dell'amministrazione aggiudicatrice Tutti i dati personali che figurano nel CQ o ad esso relativi, compresa la sua esecuzione, sono trattati conformemente al regolamento (UE) 2018/1725. I dati in questione sono trattati ai soli fini dell'esecuzione, della gestione e del monitoraggio del CQ dal titolare del trattamento dei dati.

Il contraente o qualsiasi altra persona i cui dati personali sono trattati dal titolare del trattamento dei dati in relazione al presente CQ gode di diritti specifici in qualità di

"interessato" di cui al capo III (articoli da 14 a 25) del regolamento (UE) 2018/1725, in particolare il diritto di accesso, di rettifica o alla cancellazione dei dati personali e il diritto di limitare o, ove applicabile, di opporsi al trattamento o il diritto alla portabilità dei dati.

Per eventuali domande concernenti il trattamento dei propri dati personali, il contraente o qualsiasi altra persona i cui dati personali sono trattati nel presente CQ può rivolgersi al titolare del trattamento dei dati. È inoltre possibile rivolgersi anche al responsabile della protezione dei dati del titolare del trattamento. Gli interessati possono presentare un reclamo al Garante europeo della protezione dei dati in qualsiasi momento.

Informazioni particolareggiate sul trattamento dei dati personali sono disponibili nell'informativa sulla protezione dei dati di cui all'articolo I.9.

II.9.2 Trattamento dei dati personali da parte del contraente

Il trattamento di dati personali da parte del contraente soddisfa le prescrizioni del regolamento (UE) 2018/1725 e viene effettuato unicamente per le finalità stabilite dal titolare del trattamento.

Il contraente assiste il titolare del trattamento ai fini dell'adempimento del suo obbligo di dare seguito alle richieste di esercizio dei diritti da parte delle persone i cui dati personali sono trattati in relazione al presente CQ, stabiliti nel capo III (articoli da 14 a 25) del regolamento (UE) 2018/1725. Il contraente informa senza ritardo il titolare del trattamento in merito a tali richieste.

Il contraente può agire solo su istruzioni scritte e documentate e sotto la supervisione del titolare del trattamento dei dati, in particolare per quanto riguarda le finalità del trattamento, le categorie di dati che possono essere trattati, i destinatari dei dati e i mezzi con i quali l'interessato può esercitare i propri diritti.

Il contraente concede al suo personale l'accesso ai dati nella misura strettamente necessaria per l'esecuzione, la gestione e il monitoraggio del CQ. Il contraente deve assicurare che il personale autorizzato a trattare i dati personali si sia impegnato alla riservatezza o sia soggetto ad adeguato obbligo legale di riservatezza in conformità con le disposizioni dell'articolo II.8.

Il contraente adotta opportune misure tecniche e organizzative di sicurezza, tenendo debitamente conto dei rischi inerenti al trattamento e della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, al fine di garantire, in particolare, come opportuno:

(a) la pseudonimizzazione e la cifratura dei dati personali;

(b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

(c) la capacità di ripristinare tempestivamente la disponibilità dei dati personali, e l'accesso agli stessi, in caso di incidente fisico o tecnico;

(d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;

(e) misure di protezione dei dati personali contro la distruzione, la perdita, la modifica, la divulgazione non autorizzata dei dati personali trasmessi, conservati o comunque trattati o l'accesso a tali dati, di origine accidentale o illegale.

Il contraente notifica le violazioni dei dati personali al titolare del trattamento senza indebito ritardo e al più tardi entro 48 ore dopo esserne venuto a conoscenza. In tal caso, il contraente comunica al titolare del trattamento almeno le seguenti informazioni:

(a) la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

(b) le probabili conseguenze della violazione;

(c) le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.

Il contraente informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il regolamento (UE) 2018/1725, il regolamento (UE) 2016/679, o altre disposizioni dell'Unione o degli Stati membri in materia di protezione dei dati, come indicato nel capitolato d'oneri.

Il contraente assiste il titolare del trattamento nell'adempimento dei suoi obblighi a norma degli articoli da 33 a 41 del regolamento (UE) 2018/1725 al fine di:

(a) garantire il rispetto dei suoi obblighi di protezione dei dati per quanto concerne la sicurezza del trattamento e la riservatezza delle comunicazioni elettroniche e degli elenchi di utenti;

(b) notificare una violazione dei dati personali al Garante europeo della protezione dei dati;

(c) comunicare una violazione dei dati personali senza indebito ritardo all'interessato, se del caso;

(d) effettuare valutazioni d'impatto sulla protezione dei dati e condurre consultazioni preventive, se necessario.

Il contraente tiene un registro di tutte le operazioni di trattamento dei dati effettuate per conto del titolare del trattamento, dei trasferimenti di dati personali, delle violazioni di sicurezza, delle risposte alle richieste di esercizio dei diritti delle persone i cui dati personali sono trattati e delle richieste di accesso a dati personali da parte di terzi.

L'amministrazione aggiudicatrice è soggetta al protocollo n. 7 del trattato sul funzionamento dell'Unione europea sui privilegi e sulle immunità dell'Unione europea, in particolare per quanto riguarda l'inviolabilità degli archivi (compresa l'ubicazione fisica dei dati e dei servizi, come indicato alla clausola I.9.2) e la sicurezza dei dati, che include dati personali detenuti per conto dell'amministrazione aggiudicatrice nei locali del contraente o subappaltatore.

Il contraente comunica immediatamente all'amministrazione aggiudicatrice qualsiasi richiesta giuridicamente vincolante di divulgazione dei dati personali trattati per conto dell'amministrazione aggiudicatrice presentata da un'autorità pubblica nazionale, compresa un'autorità di un paese terzo. Il contraente non può concedere tale accesso ai dati senza la preventiva autorizzazione scritta dell'amministrazione aggiudicatrice.

La durata del trattamento dei dati personali da parte del contraente non potrà superare il periodo di cui alla clausola II.24.2. Decorso tale termine, il contraente restituisce, senza indugio e in un formato concordato, tutti i dati personali trattati per conto del titolare del trattamento e le relative copie oppure, a scelta del titolare del trattamento, cancella effettivamente tutti i dati personali, salvo che il diritto dell'Unione o nazionale richieda la conservazione dei dati personali per un periodo più lungo.

Ai fini dell'articolo II.10, se una parte o la totalità del trattamento dei dati personali è subappaltata a terzi, il contraente trasmette per iscritto gli obblighi di cui alle clausole I.9.2 e II.9.2 a tali parti, compresi i subappaltatori. Su richiesta dell'amministrazione aggiudicatrice, il contraente fornisce un documento comprovante tale impegno.